Это популярное сообщение. Zeleza Опубликовано: 2 июня, 2022 Это популярное сообщение. Share Опубликовано: 2 июня, 2022 (изменено) ВНИМАНИЕ! Самое свежее описание и документацию по пакету КВАС Вы сможете найти на GitHub. ----- Данный пакет позволяет осуществлять контроль и поддерживать в актуальном состоянии список разблокировки хостов или "Белый список". При обращении к любому хосту из этого списка, весь трафик будет идти через фактические любое VPN соединение, заранее настроенное на роутере, или через Shadowsocks соединение. Здесь реализуется связка ipset+vpn|shadowsocks+dnsmasq(wildcard)+dnscrypt-proxy2. Пакет представляет собой обвязку или интерфейс командной строки для работы с белым списком. Особо выделю, возможность данного пакета, в связи с использованием в нем dbsmasq с wildcard, работать с любыми доменными именами третьего и выше уровней. Т.е. в белый список достаточно добавить *domen.com и маршрутизация трафика будет идти по выбранному vpn при обращении, как к sub1.domen.com, так и к любому другому подломанному имени subN.domen.com. Обвязка основана на выложенных в открытом доступе скриптах по следующим ссылкам: ссылка#1, ссылка#2, ссылка#3. Особая благодарность авторам и низкий им поклон за труды их: @Le ecureuil, @ndm, @avn, @Александр Рыжов, @ankar84, @Mastersland, @zyxmon Преамбула Скрытый текст Данный пакет является третьим из серии поддержки проекта Жезл и прежде чем выпускать вариант для Жезла, решил протестировать для начала обвязку на bash, чтобы понять все тонкости настройки и детали отладки. Почему именно такая связка ? О достоинствах и недостатках Shadowsocks повторяться не стану - почитайте тут. Помимо Shadowsocks поддерживаются: OpenVPN (подтверждено), Wireguard (подтверждено) IKEv1 и IKEv2 (для работы необходимо поставить в настройках галочку "Использовать для выхода в интернет") - (НЕ подтверждено) PPPOE (НЕ подтверждено) L2TP (НЕ подтверждено) SSTP (НЕ подтверждено) Быстрота работы dnsmasq, даже при наличии множества доменных имен в списке, за счет его умения работать с хешем, а не с самими доменными именами. Работа dnsmasq в режиме wildcard, когда можно вместо доменных имен третьего и выше уровня, просто указать звездочку. Утилита dnscrypt-proxy2 позволяет сделать DNS запросы зашифрованными. Как dnsmasq, так и dnscrypt-proxy2 позволяют организовать блокировку списков спама. В Квасе реализован вариант работы с dnsmasq. Начиная с версии 1.0 beta 8 добавлена возможность подключения AdGuard Home в качестве DNS сервера. Почему КВАС? Просто на на заморском наречии слово Shadowsocks созвучно с соком на конце слова. Потому наш ответ соку это КВАС.)) Возможности Скрытый текст Квас работает на всех роутерах Keenetic, в виду легковесности задействованных пакетов (начиная с версии 0.9 beta 9 работает на всех платформах: mips, mipsel, aarch64) Квас использует dnsmasq, с поддержкой регулярных выражений, а это в свою очередь дает одно, но большое преимущество: можно работать с соцсетями и прочими высоко-нагруженными сайтами, добавив лишь корневые домены по этим сайтам. Квас позволяет просматривать/добавлять/удалять/очищать/обновлять/импортировать и экспортировать доменные имена списка разблокировки или белого списка. Квас позволяет отображать статус/отключать/включать блокировку рекламы Квас позволяет отображать статус/отключать/включать шифрование DNS Квас позволяет тестировать и выводить отладочную информацию по всем элементам связки ipset+shadowsocks+dnsmasq+dnscrypt-proxy2 Начиная с версии 1.0 beta 8 добавлена возможность подключения AdGuard Home в качестве DNS сервера. Ключи запуска Примеры использования Скрытый текст kvas add ya.ru - добавляем ya.ru в список разблокировки без поддержки регулярных выражений.kvas add *ya.ru - добавляем ya.ru в список разблокировки c поддержкой регулярных выражений.kvas import ./list - добавляем хосты из файла в списочный файл.kvas rm google - удаляем все хосты со словом google внутри из списочного файла.kvas show - выводим все хосты из списка разблокировки.kvas test - тестируем работу всех служб.kvas debug > ./log - сохраняем лог отладочной информации в файл.kvas purge - удаляем все хосты из списка разблокировки. Ограничения Данный пакет использует возможности Entware - без установленного Entware он не работает В пакете используются некоторые функции API от Keenetic, потому на других роутерах он работать не будет. Хотя это ограничение возможно обойти. Пакет работает пока только на IPv4. P.S.Поддержать проект можете, путем своего участия в проекте (пишите в "личку"), либо путем перевода любой суммы средств на этот кошелек ЮМани. Изменено 27 декабря, 2022 пользователем Zeleza 18 5 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
w00zle Опубликовано: 2 июня, 2022 Share Опубликовано: 2 июня, 2022 (изменено) Инструкция для Heroku уже не актуальна, чуть менее чем полностью. Для регистрации из России нужен VPN и знать в какой стране выходной узел, что бы не ошибиться в анкете. И при использовании все равно блочат. Кого то раньше кого то позже. Там в конце статьи в комментариях про это есть. Меня блокнули через пару месяцев. И там по умолчанию используется плагин v2ray, его то же нужно ставить или он в составе кваса? Скрытый текст dnsmasq с регулярками я вижу прижился, но полностью он раскрываеться при работе с маркировкой пакетов (mangle) Изменено 2 июня, 2022 пользователем w00zle Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 2 июня, 2022 Автор Share Опубликовано: 2 июня, 2022 45 минут назад, w00zle сказал: И там по умолчанию используется плагин v2ray, его то же нужно ставить или он в составе кваса? Доброго дня нет, в составе Кваса лишь, то что заявлено в описании. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Art-9 Опубликовано: 2 июня, 2022 Share Опубликовано: 2 июня, 2022 1 час назад, Zeleza сказал: Нет возможности использовать совместно с AdGuard Home (особенности работы dnsmasq). Что это за особенности dnsmasq? Что мешает направить DNS запросы так: LAN клиенты > AdGuard Home > dnsmasq Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
w00zle Опубликовано: 2 июня, 2022 Share Опубликовано: 2 июня, 2022 23 минуты назад, Zeleza сказал: Доброго дня нет, в составе Кваса лишь, то что заявлено в описании. Тогда с Heroku не взлетит, боюсь. ИМХО ссылку на статью на хабре лучше убрать, что бы исключить вопросы - а почему не работает 1 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
TheBB Опубликовано: 2 июня, 2022 Share Опубликовано: 2 июня, 2022 2 часа назад, Zeleza сказал: Минус - используется вариант dnsmasq, с поддержкой регулярных выражений только для архитектуры mipsel (другого пока не нашел) dnsmasq-full_2.86-9999_aarch64 dnsmasq-full_2.86-9999_mips dnsmasq-full_2.86-9999_mipsel (до кучи) 4 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
i81 Опубликовано: 2 июня, 2022 Share Опубликовано: 2 июня, 2022 Вечер добрый, товарищи! @Zeleza Спасибо большое за Ваши труды! Подскажите пожалуйста, в КВАСе можно сделать так, что бы трафик с самого роутера тоже шол согласно списка обхода, а не только трафик br0? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 2 июня, 2022 Автор Share Опубликовано: 2 июня, 2022 (изменено) Пробуем kvas_0.9-beta_9_all.ipk с поддержкой всех платформ. Отдельное благодарю @TheBB Изменено 4 июня, 2022 пользователем Zeleza 1 1 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 2 июня, 2022 Автор Share Опубликовано: 2 июня, 2022 1 час назад, i81 сказал: Подскажите пожалуйста, в КВАСе можно сделать так, что бы трафик с самого роутера тоже шол согласно списка обхода, а не только трафик br0? Доброго вечера, Я тружусь в основном над обвязкой (или интерфейсом командной строки) для работы с белым списком. Это больше вопрос к @avn и другим мудрым людям. В Квасе использованы скрипты на основе их наработок. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 2 июня, 2022 Автор Share Опубликовано: 2 июня, 2022 3 часа назад, Art-9 сказал: Что мешает направить DNS запросы так: LAN клиенты > AdGuard Home > dnsmasq Доброго вечера, Благодарю за мысль добрую - так не пробывал еще. У Вас получилать подобная связка? Все работает? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
TheBB Опубликовано: 3 июня, 2022 Share Опубликовано: 3 июня, 2022 Т.к. пакет "entware-release" "прибит гвоздями" (см. в "opt-ndmsv2"), архитектуру мона определить так: `grep "arch" /opt/etc/entware_release | cut -f2 -d"="`. Или ваще ставить "dnsmasq" по прямой ссылке (пока не протухнет): `opkg install $(grep '[[:space:]]entware' /opt/etc/opkg.conf | cut -f3 -d' ')/test/dnsmasq-full_2.86-9999_$(grep '150' /opt/etc/opkg.conf | cut -f2 -d' ').ipk`. `/opt/tmp/*` может быть и пустым. ))) 2 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 3 июня, 2022 Автор Share Опубликовано: 3 июня, 2022 (изменено) 23 часа назад, TheBB сказал: grep "arch" /opt/etc/entware_release | cut -f2 -d"="`. Доброго дня Варианты dnsmasq зашил жестко без ссылок. Архитектуру определял по opkg, но Ваш вариант более эффективный. Благодарю. Изменено 4 июня, 2022 пользователем Zeleza Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Art-9 Опубликовано: 3 июня, 2022 Share Опубликовано: 3 июня, 2022 В 03.06.2022 в 03:40, Zeleza сказал: У Вас получилать подобная связка? Все работает? Доброго вечера, я не пробовал подобную связку конкретно с "КВАС", но не вижу особой разницы кто будет напрямую обращаться к dnsmasq - LAN клиенты или AdGuard Home. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
avn Опубликовано: 3 июня, 2022 Share Опубликовано: 3 июня, 2022 (изменено) 1 час назад, Art-9 сказал: Доброго вечера, я не пробовал подобную связку конкретно с "КВАС", но не вижу особой разницы кто будет напрямую обращаться к dnsmasq - LAN клиенты или AdGuard Home. Или наоборот, Upstream DNS в dnsmasq - один единственный, и это AdGuard Home. А в ADGuard - upstream DNS - это 1.1.1.1,8.8.8.8 и т.д. Т.е. схема такая: Все клиенты -> DNSMasq -> AdGuard Home -> глобальные DNS -> Onion -> Tor -> Сайт через антизапрет -> Антизапрет -> и т.д. # Глобальный Upstream на adguard server=myadguard.adguard.com#5678 # Tor onion server=/onion/127.0.0.1#9153 # Сайт через антизапрет server=/my.site/10.194.1.1#53 # Сайты через 9-ки server=/tmdb.org/themoviedb.org/9.9.9.9 Т.е. резолв идет сначало для доменов, с индивидуальными серверами для dns-резолвинга. А если индивидуально не настроено - то на глобальный dns. Изменено 3 июня, 2022 пользователем avn Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Art-9 Опубликовано: 4 июня, 2022 Share Опубликовано: 4 июня, 2022 (изменено) 2 часа назад, avn сказал: Все клиенты -> DNSMasq -> AdGuard Home -> глобальные DNS Вариант рабочий но при такой схеме часть функционала AdGuard будет потеряна - настройка клиентов, в журнале все запросы будут от одного устройства. Изменено 4 июня, 2022 пользователем Art-9 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
avn Опубликовано: 4 июня, 2022 Share Опубликовано: 4 июня, 2022 (изменено) 10 часов назад, Art-9 сказал: Вариант рабочий но при такой схеме часть функционала AdGuard будет потеряна - настройка клиентов, в журнале все запросы будут от одного устройства. Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал. ## ipset AGH can add IP addresses of the specified in configuration domain names to an ipset list. Prepare: user creates an ipset list and configures AGH for using it. 1. User --( ipset create my_ipset hash:ip ) -> OS 2. User --( ipset: host.com,host2.com/my_ipset )-> AGH Syntax: ipset: "DOMAIN[,DOMAIN].../IPSET1_NAME[,IPSET2_NAME]..." IPv4 addresses are added to an ipset list with `ipv4` family, IPv6 addresses - to `ipv6` ipset list. Run-time: AGH adds IP addresses of a domain name to a corresponding ipset list. 1. AGH --( resolve host.com )-> upstream 2. AGH <-( host.com:[1.1.1.1,2.2.2.2] )-- upstream 3. AGH --( ipset.add(my_ipset, [1.1.1.1,2.2.2.2] ))-> OS Конфиг: dns: ipset: - domain.com/ipset_name - domain1.com,domain2.com/ipset_name,ipset_name2 ... Настройка upstream: [/pool.ntp.org/]1.1.1.1 [/pool.ntp.org/]1.0.0.1 [/pool.ntp.org/]2606:4700:4700::1111 [/pool.ntp.org/]2606:4700:4700::1001 Изменено 4 июня, 2022 пользователем avn 1 1 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 4 июня, 2022 Автор Share Опубликовано: 4 июня, 2022 (изменено) 35 минут назад, avn сказал: Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал. Дорого дня В продолжении темы, нашел немного о связке ADH + ipset (ниже перевод робота) Источник Источник Если кто реализует подобную связку дайте знать пожалуйста. Был бы признателен за детали. Изменено 4 июня, 2022 пользователем Zeleza Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Art-9 Опубликовано: 4 июня, 2022 Share Опубликовано: 4 июня, 2022 4 часа назад, avn сказал: Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал. Благодарю, проверил - работает. Жаль я раньше не прочитал их вики (https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration). Использование ipset в AdGuardHome позволит мне из цепочки убрать не только dnsmasq но и https-dns-proxy. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
avn Опубликовано: 4 июня, 2022 Share Опубликовано: 4 июня, 2022 1 час назад, Art-9 сказал: Благодарю, проверил - работает. Жаль я раньше не прочитал их вики (https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration). Использование ipset в AdGuardHome позволит мне из цепочки убрать не только dnsmasq но и https-dns-proxy. Тоже все заработало с ipset: 1 1 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 4 июня, 2022 Автор Share Опубликовано: 4 июня, 2022 1 час назад, Art-9 сказал: Благодарю, проверил - работает. C wildcard тоже работает? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Art-9 Опубликовано: 5 июня, 2022 Share Опубликовано: 5 июня, 2022 12 часа назад, Zeleza сказал: C wildcard тоже работает? Не использую wildcard, да и проверить "КВАС" я не могу - перешел на OpenWrt. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 5 июня, 2022 Автор Share Опубликовано: 5 июня, 2022 Доброго утра всем, 13 минуты назад, Art-9 сказал: Не использую wildcard, да и проверить "КВАС" я не могу - перешел на OpenWrt. Тогда полагаю, что отказываться от dnsmasq пока рано.) Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
avn Опубликовано: 5 июня, 2022 Share Опубликовано: 5 июня, 2022 (изменено) 3 часа назад, Zeleza сказал: Доброго утра всем, Тогда полагаю, что отказываться от dnsmasq пока рано.) AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее. Изменено 5 июня, 2022 пользователем avn Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Игорь Александрович Кривенко Опубликовано: 5 июня, 2022 Share Опубликовано: 5 июня, 2022 спасибо! всё отлично работает! можно ли прикрутить к данному пакету управление скажем через веб страничку "в локалке", а не телеграмм бота? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Zeleza Опубликовано: 5 июня, 2022 Автор Share Опубликовано: 5 июня, 2022 4 минуты назад, Игорь Александрович Кривенко сказал: можно ли прикрутить к данному пакету управление скажем через веб страничку "в локалке", а не телеграмм бота? Доброго дня Конечно можно, все достижимо. Надо ли? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
vasek00 Опубликовано: 5 июня, 2022 Share Опубликовано: 5 июня, 2022 9 часов назад, avn сказал: AGH тормоз ещё тот. В обычном режиме не замечено. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
avn Опубликовано: 5 июня, 2022 Share Опубликовано: 5 июня, 2022 4 минуты назад, vasek00 сказал: В обычном режиме не замечено. Что за обычный режим? Я к тому, что у него много накладных расходов. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
vasek00 Опубликовано: 5 июня, 2022 Share Опубликовано: 5 июня, 2022 1 час назад, avn сказал: Что за обычный режим? Я к тому, что у него много накладных расходов. Обычный это тот для которого он предназначен. Много накладных это сколько грамов или Цитата AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее Что в вашем понятие накладные расходы? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
avn Опубликовано: 5 июня, 2022 Share Опубликовано: 5 июня, 2022 2 часа назад, vasek00 сказал: Обычный это тот для которого он предназначен. Много накладных это сколько грамов или Что в вашем понятие накладные расходы? Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
vasek00 Опубликовано: 6 июня, 2022 Share Опубликовано: 6 июня, 2022 8 часов назад, avn сказал: Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3 Ожидал другого, т.е. ваша фраза Я к тому, что у него много накладных расходов имеет отношение только к набору ссылок. Это то же самое как на форумах посты - у меня wifi плохо работает а у меня нормально или у меня 50ms в у меня 120ms страница открылась и т.д. чисто статистика. Для статистики при использование AdguardHome или DNSmasq - НЕ ЗАМЕТИЛ разницы в открытие страниц при том что оба на строены для проверки на 8.8.8.8 только один с кучей списков и фильтров а другой не с чем. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Рекомендуемые сообщения
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.